乌云白帽子大会怎么样

① 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓

这是一个道德问题。白帽子头顶上虽然顶着个白色的帽子，看起来是安全的，但其实任何没有经过允许的检测都属于非法的恶意攻击，是犯法的。即便你没有做什么，即便提交到wooyun或者360的补天。这里面有个关键，就是厂商不找你麻烦！大部分厂商对于白帽子提交漏洞，都是欢迎的，但心里其实还是有点拒绝的。因为没人喜欢别人指出自己的错误，因为那样显得自己是个白痴。即便你认为你的行为是正义的是善意的，是为了网络安全做贡献的。大部分厂商对于这样的行为是睁一只眼闭一只眼的，不找你麻烦。而世纪佳缘....只能说那个被抓的，是厂商对于白帽子这种行为不满的牺牲品。而很多众测行为，是经过厂商允许的。
并且这里有个问题，新闻中说了发现了大量访问数据库的连接。所以厂商根本无法确定白帽子是否泄漏了数据库卖给黑产。只能报警。这样的情况之前不是没出现过，wooyun有很多。一些黑客入侵一些网站，把数据库拖了，然后卖掉。最后再去wooyun或者360的补天提交漏洞。

② 白帽子黑客是怎样的一群人

【张小冲的回答(121票)】:我是乌云的创始人，我来回答下吧，我们最开始做乌云的目的很简单，因为我当时负责网络的安全，但是我们根本无法对老板回答我们是不是做安全了，什么是安全，根本原因是这个行业的封闭，无论是老板还是用户对安全都不了解，开发的人说安全是这个样子，运维的人说安全应该这么搞，老板说咱们安全很好啊一年到头没有安全事件，老板又说了没有安全事件你们这些屌丝天天都在做什么，而且也发生过很多安全公司利用用很小的安全漏洞来敲诈企业说你这里有个很严重的问题，老板不懂也许一下子就买单了，更不用说由于攻击者和防御者的信息不对称带来的信息壁垒问题了是的，最开始的原因是为了我们自己工作的原因和让我们身边朋友和老板对我们工作的了解来做这个事情，后来我们发现带来的收益更大，我们让安全研究人员通过这个平台能够学习到其他人的技术和技能，我们让安全研究人员能互相认识能够展示自己获得更高的荣誉和工作机会，我们让所有企业知道所有最新的安全漏洞状态，我们也同样让更多的普通用户了解企业如果不做好安全可能给用户带来的信息安全威胁于是我们帮助行业完成了一个正向的循环，白帽子发现和报告安全问题，企业修复并披露安全问题，用户了解信息安全从而对企业提出信息安全要求，企业加强信息安全建设和提升白帽子价值，更多的白帽子学习和加入到这个过程我很难去说乌云上所有的人都有什么心理，但是我们一直在往这个方向引导，我自己也是乌云上的白帽子一员，我个人的驱动力是，我已经有一份稳定的工作，我爱好安全而又没有任何压力驱使我使用我的技术去谋取非法利益，我能够以正确的渠道展示自己，我能够得到除了腾讯这种封闭企业之外的企业认可，我也可以参与到乌云开展的各项活动，我能够认识到优秀的人和他们交流获得提升，这就是我在乌云能够得到的没有在乌云过漏洞的筒子就不会体验到这种让人开心的感觉啦 ：）【大风的回答(24票)】:白帽子是不黑网站的。严格来说，未经授权而进行的渗透测试都属于耍流氓，根据渗透的深浅程度而判定流氓的大小程度。好吧，根据以上定义一棒子打死了好多人，肯定很多人因为被冒犯而不高兴。那我就不抬杠了，题主指的这种情况，如果没有拖库的话（根据实际情况判断，比如日志分析或者是和白帽子交涉），可以不给用户发告警提醒。如果有被拖库的风险的话，本着对用户负责的态度，应该告知用户风险，并考虑强制用户登录后修改密码。另外，白帽子愿意报告漏洞给你，避免了被黑客利用该漏洞的风险，所以要好吃好喝伺候好了，别尝试做出会激怒所有白帽子的行为，他不是一个人在战斗。【知乎用户的回答(2票)】:根据《三体》中黑暗森林理论，当你不了解这个所谓的白帽子时，就应该把自身的安全做好，说不定白帽子刚好一不小心脱了你裤，如果你不找条新裤子穿上，那你在他面前就只剩下菊花了【eagle black的回答(3票)】:首先推荐大家看@大风写的《白帽子讲web安全》一书，P6就有关于“黑帽子”“白帽子”的详解。言简意赅的说：称职白帽子就是通过网络安全专业技术去钻研、挖掘计算机、网络系统漏洞的人。但是他/她们不会去做任何的破坏，同时会告知管理员漏洞内容及修复方案。（因目前少部分白帽子的某种行为不当 所以前面加了“称职”二字）白帽子一般通过以下四种方式去提交漏洞：1、通过自己去联系网站管理人员提交（虽然比较繁琐 但是鄙人还是比较欣赏这种方式）2、通过国家信息安全漏洞共享平台提交3、通过官方的漏洞平台（如：腾讯的腾讯安全应急响应中心）4、通过第三方漏洞提交平台（如：WooYun.org | 自由平等开放的漏洞报告平台）个人觉得，大家可以把白帽子可以理解为比较正义的黑客。【知乎用户的回答(0票)】:好吧，白帽子告诉了你站点哪里出问题了，你有证据显示信息泄露范围就是白帽干的而不是另一路人马干的？其实做甲方能多做一点感谢白帽就很不错了。白帽冒着被请喝茶的风险还告诉你问题所在，这是啥马样的精神？共产国际主义也不过如此吧。责任鉴定问题，查下服务器日志，查下数据库执行的语句，看看是否被人劫了，如果没有，该做的事做一遍。该感谢的要感谢。如果是被劫了，看损失估计，如果没有涉及太大就算了，其实大多数都是如此。。说到改密码，那就得看密码是如何泄露的，如果数据库加密的话看看是否是弱口令或网络嗅探上出问题，至少总查的出来吧，看泄露哪些用户，再让别人改，本身有些弱口令就是被撞库出来的。总让用户改密码很蛋疼的。【知乎用户的回答(0票)】:白帽子大概就是为了技术而技术，而黑帽子就大多是为了利益。面对利益，说一点不动心是不可能的。

③ 如何利用乌云学习白帽子技术

首先你需要有一定的基础，起码知道名词都是什么意思吧。
然后就是自己去看技术资料，弄清楚原理(不懂原理只会玩工具的叫“script kiddie”)。

④ 如何利用乌云学习白帽子技术

白帽子，描述的是正面的黑客,一般白帽黑客都是受人尊敬的,他们对计算机系统和互联网进行分析.找出其中的安全漏洞，然后将漏洞报告给厂商,当厂商修复完毕后才公开.这对"减少互联网攻击"的宏伟目标提供了非常重要的帮助
在黑客世界里，所有黑客被归为三种类型：
白帽子：描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞；
灰帽子 ：他们擅长攻击技术，但不轻易造成破坏，他们精通攻击与防御，同时头脑里具有信息安全体系的宏观意识；
黑帽子：他们研究攻击技术唯一的目的就是惹事生非。

⑤ 关于“某白帽子在乌云报漏洞，结果逮捕”，国内还有白帽子的环境吗

看些通用漏洞会有详细代码分析，其他漏洞很多都是由于分站之类的问题，不过也有一定的学习价值，不过乌云公开漏洞速度很慢，还是多看看评论吧

⑥ 乌云 是怎样的一个网站

背景：
如果有一天你突然发现，整个城市的商店和银行一到夜里就门户洞开，几乎所有地方都可以自由出入，你会做什么？有的人会选择肆意偷窃和破坏，也有的人会选择去提醒和修复这些问题。

黑客里边的白帽子就是这样的一群人。他们有极强的安全敏感性，能够很快的发现潜藏的漏洞，却又能在利益的诱惑前，选择做正确的事情。顾城为他们写了一句诗(误)：黑夜给了我黑色的眼睛，而我却用它寻找光明。

乌云是什么

如果理解不了白帽子，可能你很难理解方小顿创立的乌云漏洞报告平台，很难理解为什么在漏洞很容易卖出好价钱的情况下，不以盈利为目的乌云已经坚持了5年，聚集了11000多位白帽子，发现和报告了近11万个漏洞，除了将白帽子提交的漏洞及时通知厂商进行修复，避免造成更大的影响外，乌云有着更大的愿景。

“安全的问题，在于其封闭性，黑客本身是个很神秘的圈子。（而公众领域这边）每个人都担心出安全问题，但几乎每个人又都不知道安全问题到底是什么。” 信息的严重不对称，导致这个行业很难得到改善，掌握信息的人会利用信息进行牟利，而如果最终的使用者都不关心安全问题，那么应用厂商就不会在安全方面进行投入，如果企业本身都不在乎安全问题，那么程序员写起代码来也就更随意，同时大多数公司内部的系统管理员与安全人员，他们没有来自行业与内部的竞争压力，为企业做安全都是“常规模式”，外加生搬硬套国外的标准做安全管理，日久天长会变得工作效率低下、不负责任。这样漏洞也就越来越多，最终的结果是用户将会为这些安全问题付出代价。

乌云尝试以新的方式打破这个不对称：首先将白帽子和厂商联系起来，让厂商可以及时发现和修复问题，不再像以往被人黑了还不知道为什么；然后平台上积累的数十万个真实漏洞，可供技术人员在开发产品时参考，不犯别人犯过的错误；最后乌云还会对一些新兴和频发的安全问题进行预警，帮助最终用户增强安全意识，使其在向企业提供个人信息的时候能意识到自己将会承担的风险。

而当用户把安全性作为选择企业产品的考量之一时，企业就会在信息安全上加大投入，开发人员就会有更多的资源和动力去处理安全问题，从而营造出越来越好的安全生态，促使这个生态形成，就是乌云要做的事情。
有田笔记答疑地址：http://www.shengliyoutian.com 启鹅1440588332WEI信notes888

⑦ web漏洞师傅，像乌云里面的白帽子，学习。。谢谢！！本人很喜欢网络安全有一点点的编程基础，不知道如

学习网络安全就的学习服务器架构，及微软的服务器操作系统

⑧ 如何看待白帽子在乌云网提交世纪佳缘网漏洞后被抓

这件事，世纪佳缘内部决定钓鱼抓人的那决策者，和网上这些光从法律角度谈问题说没抓错的人，都很幼稚。
为什么幼稚，很简单，因为现在社会的事实是，一个法律制定出来后，不是说人们就都守法了，不守法的人就都被抓了的。法律永远把整个人群分成两部分，一部分是守法的人，一部分是不守法就是专门跟你对着干的人。由于警察资源永远是有限的，所以导致违法的人永远存在。
所以公司里这个做决策的人，他要考虑的不仅仅是把守法的人考虑进去，他还要考虑那些不守法的人。因此他的思维就不能单纯到认为，法律是禁止渗透的，你渗透我了，我就报警抓你，人家恰恰就是因为帮他的忙才会暴露给他，这一抓，以后怎么办，他如何面对那些渗透他网站但什么也不和他说的那些真正的黑客呢，完全靠网络警察吗，网警的力量毕竟也是有限的。由此可见世纪佳缘的这个决策者大脑是差一窍。

补充几句话：

原本的情况是，白帽子自觉把漏洞提交后，厂商有弥补漏洞的机会，以免持续遭到黑产的侵袭。现在世纪佳缘把白帽子一抓，接下来的会发生的事情很好推理，那就是白帽子不再处理世纪佳缘网的漏洞，也就是世纪佳缘网如果再次出现漏洞，被处理被修复的可能性降低，导致我们的用户数据在世纪佳缘网的服务器上的安全性降低，导致我们用户不再愿意把自己的数据放到他的服务器上。由此倒推回去，当初决定抓白帽子的决策，是错的，和法律支不支持其实没多大关系。

抓人的前提很简单，就是你能够百分之百的控场，或者法律执行者的实力可能百分百控场。假如世纪佳缘的安全团队实力足够高，高到能够防范任何一个黑客攻击的前提下，你可以抓人，或者是你确保网警的实力能侦破任何一个黑客入侵的案子，而且是迅速侦破，也可以抓人。

⑨ 第二届乌云白帽子大会的绵羊墙，技术上怎么实现的呢

上百上千中漏洞你指的是什么？随便一种都够你研究很久，怎么可能通过几句话你就能搞懂，你先把计算机基础搞懂然后在去学校网站搭建，然后脚本，数据库。

⑩ 想找一份互联网公司的工作，没有学历，但是技术很牛逼，在乌云成功提交过漏洞的事情，这种白帽有大公司收

你好，我也是做互联网这块的，很佩服你，希望一起交流，学习